A Austrália é agora a primeira nação ocidental a proibir a segurança, após uma decisão do parlamento de aprovar uma lei que força as empresas a entregarem dados criptografados à polícia, quando solicitados. O governo poderá exigir isso sem revisão judicial ou supervisão de qualquer tipo, além da exigência de obter um mandado em primeiro lugar. Além disso, a lei exige que as corporações construam ferramentas que lhes permitam interceptar dados procurados pela polícia quando tais ferramentas ainda não existem. Embora a lei tenha passado apenas pela câmara baixa da Austrália, a câmara superior indicou que aprovará a legislação, desde que haja votações posteriores sobre emendas não especificadas à lei atual.
A Austrália se tornou o primeiro país a aprovar a legislação que tanto o governo do Reino Unido quanto o governo dos Estados Unidos querem muito – backdoors obrigatórios do governo em sistemas de criptografia que exigem que as corporações entreguem dados sob demanda. A resposta da indústria de tecnologia tem sido direta: não há como realizar essa tarefa que não enfraquece fundamentalmente a segurança. E para todos que o jornalismo é muitas vezes o processo de expor vários lados a um argumento ou debate, não há debate real a ser tido aqui – não, pelo menos, no que diz respeito aos princípios de segurança. Podemos certamente debater se as pessoas devem ter direito à privacidade, ou se os governos dos países nominalmente livres devem ter acesso a essas informações em primeiro lugar. Mas se é realmente possível construir backdoors secretos em sistemas de segurança sem enfraquecê-los fundamentalmente, a evidência é simples: Não.
Como Cindy Cohn escreveu em um post recente no Blog Lawfare:
Mesmo sem comprometer a criptografia, não há como permitir o acesso apenas aos mocinhos (por exemplo, aplicação da lei com mandado de Título III) e não aos bandidos (governos hostis, espiões comerciais, ladrões, assediadores, policiais ruins e Mais). A NSA teve vários incidentes apenas nos últimos anos, onde perdeu o controle de sua bolsa de truques, então a velha idéia do governo chamada NOBUS – que “ninguém além de nós” poderia usar esses ataques – não é baseada na realidade. Colocar as chaves nas mãos de empresas de tecnologia, em vez de governos, apenas move o alvo para atores hostis. E não é realista esperar que as empresas protejam as chaves e as consigam sempre em suas respostas a centenas de milhares de solicitações de segurança pública e nacional por ano, de jurisdições locais, estaduais, federais e estrangeiras. A história mostrou que é apenas uma questão de tempo até que os maus atores descubram como cooptar os mesmos mecanismos que os mocinhos usam – corporativos ou governamentais – e se tornarem “stalkers”.
Simplesmente não há debate dentro da comunidade de segurança sobre esse tópico. Criar chaves para um sistema de criptografia ou, alternativamente, manter a criptografia, mas forçar as empresas a criar ferramentas que permitam anexar um “stalker” ao sistema para monitorar as comunicações de forma invisível (o Reino Unido está propondo esse método de vigilância e o já mencionado Lawfare A postagem no blog tem mais sobre isso), cria automaticamente um enorme incentivo para qualquer um que esteja ciente da existência de tais ferramentas para tentar roubá-las (se forem black hats) ou aproveitá-las para seu próprio uso (se elas forem governos) . Quando as empresas forem obrigadas a criar essas ferramentas para operar no mercado australiano, elas serão pressionadas a levá-las a outros países.
A ideia de que as empresas podem ser confiáveis para proteger essas ferramentas vitais ou manter dados vitais em contas de depósito não sobrevive ao contato com a realidade. Mesmo sem backdoors obrigatórios do governo, as empresas regularmente sofrem violações e ataques, muitas vezes vazando dados pessoais de dezenas a centenas de milhões de pessoas. A necessidade de uma melhor segurança de dados é enorme e a solução para esse problema não é criar ferramentas que possam ser usadas para atacar o próprio conceito. Os produtos do Facebook, do Google, da Apple, da Microsoft e todos esses esforços similares agora serão necessários para incluir fraquezas sistêmicas, enquanto os produtos de código aberto não serão afetados por enquanto. Caso você esteja se perguntando, de acordo com uma pesquisa dos 343 comentários feitos na conta enquanto estava em discussão, apenas um deles – e não um cidadão australiano – estava em apoio. O Parlamento Australiano simplesmente não se importou.
- Fonte: https://www.extremetech.com/internet/281991-australia-becomes-first-western-nation-to-ban-secure-encryption